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© Verfahren zum Dfagnostlzieren einer von Computerviren befaflenen Datenverarbeitungsanlage. 



© Das Verfahren 1st gekennzeichnet durch die Ver- 
wendung eines, einen Algorithmus enthaltenden, vi- 
rusfreien Programms P, aus dem zum Zeitpunkt x = 
t0 m, 't Hilfe des Algorithmus ein 
Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert wird. 2u Prufzwecken wird nun dieses virus- 
freie Programm zu spa'teren Zeitpunkten x = t1, t2, 
t3. ... tn als Koderprogramm in die zu untersuchende 
Datenverarbeitungsanlage eingebracht una gestartet, 
der sich dabei jeweils ergebende 
Programmauthentifizierungs-Code PAC' mit dem ge- 
speicherten Programmauthentifizierungs-Code PAC 
vergiichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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Verlahren Z um D.agnost.z.eren einer von Computerviren befal.enen Datenverarbe.tungsan.age 



Die Erfindung betrifft ein Verfahren zum Dia- 
gnostizieren einer von Computervi ren befallenen 
Datenverarbeitungsanlage gemafl den Merkmalen 
des Oberbegriffs des Patentanspruchs 1 . 

Computerviren haben die Eigenschaft. dafl sie 
ursprunglich sterile Programme infizieren, d.h. hin- 
sichtlich Qualitat und Quantitat so verandern, dafl 
die Funktion und eventuell die Lange des befalle- 
nen Programms mit denen des ursprunglich sten- 
len Programms nicht mehr ubereinstimmen. Ein 
Virusprogramm kann dabei sowohl als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benutzerprogramms auftreten. In beiden Fallen 
besitzt es die Fahigkeit. eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schleusen, das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Folge. dafl sich Computerviren tetztlich 
"lawinenartig'' ausbreiten konnen. 

In Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann, kommt dem rechtzeiti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stoflt diese jedoch auf erhebliche Schwierigkei- 
ten, weil einem Programm, zumai einem umfang- 
reichen Programm. auf den ersten Blick grundsatz- 
iich nicht anzusehen ist ob es infiziert ist Oder 
nicht. Vergleichstests mit Hilfe eines sterilen Exem- 
plars desselben Programms anhand einer rein visu- 
ellen Prufung waren zwar grundsatzlich moglich, 
scheiden aber aus praktischen Erwagungen aus. 
Auch der Eihsatz der Datenverarbeitungsanlage zur 
Programmprufung kommt letztlich nicht in Betracht 
weil maschineil nicht mit ietzter Sicherheit feststell- 
bar ist. ob ein Programm wirklich das tut. was es 
soil, abgesehen davon, dafl noch viel weniger fest- 
stellbar ist. ob ein Programm etwas tut. was es gar 
nicht soil. 

Im ubrigen hatten derartige Prufroutinen. falls 
sie erfolgreich realisiert werden konnten, nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
konnten. Virusprogramme konnen namlich mit ei- 
ner besonderen Eigenart. der sogenannten 
"Ausloser"-Funktion behaftet sein. Das einge- 
schleuste Virus halt dann fur einen vorbestimmten 
Zeitraum still und wird erst durch den sogenannten 
Au^loser, zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe Oder durch spezielle 
Flags wirksam. Wenn man also vor eventuellen 
-Zeitbomben" sicher sein will, mufl die Datenverar- 
beitungsanlage fortlaufend im Hinblilck auf eventu- 
ell eingeschleuste und neu auftretende Viren unter- 
sucht werden. 

Der voriiegenden Erfindung liegt nun die Auf- 
gabe zugrunde, eine Methode zu finden. mit der 



eine emfache unc beliebig wiederholbare Oberpru- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchfuhr- 
bar ist. 

5 Die Losung dieser Aufgabe ergibt sich erfin- 

dungsgemafl durch die kennzeichnenden Merkma- 
le des Patentanspruchs 1 . Eine vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

w Das erfindungsgemafie Verfahren hat den Vor- 

teil. da/3 anstelle eines sehr aufwendigen Pro- 
grammvergleichs lediglich ein Vergleich zweier Co- 
des erforderlich ist. Voraussetzung fur das Funktio- 
nieren des erfindungsgemaflen Verfahrens ist eine 
75 zweifelsfrei sterile Kopie des Programms. das 
heiflt. das Programm mufl auf einer Datenverarbei- * 
tungsanlage hergestellt werden. von der mit Sicher- 
heit davon ausgegangen werden kann, dafl sie zum 
Zeitpunkt der Programmherstellung virusfrei war. 
20 Die Gewahr. daB ein steriles Vergleichs^Normar 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden, bei dem die Testperson sicher 
sein kann, dafl kein Virus eingepflanzt worden ist. 
25 Das aufgrund einer Differenz zwischen den beiden 
Codes gefundene Virus kann dann gegebenenf alls 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen Virus ktfnnen 
schliedich Methoden zur Desinfektion der Aniage 
30 entwickelt werden. 

Im foigenden wird die Erfindung anhand der 
Zeichnung naher erlautert. Dabei zeigen 

FIG 1 ein Blockschaltbild fur eine Anordnung 
zur Erzeugung eines Test programms, 
35 pig 2 ein Blockschaltbild fur eine Anordnung 

zur Durchfuhrung eines Testdurchlaufs. 

Ausgangspunkt fur das erfindungsgemafle Ver- 
fahren ist ein absolut virusfreies Programm P, des- 
sen Besonderheit darin besteht dafl es einen Algo- 
40 nthmus f enthait. Gemafl Figur 1 wird nun mit Hilfe 
dieses Algonthmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizierungs-Code 
PAC erzeugt, der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 

dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemafl Figur 2 zu 
spateren Zeitpunkten t1. t2 ... tn als sogenanntes 
Koderprogramm in die zu untersuchende Datenver- 
so arbeitungsanlage eingebracht. urn feststellen zu 
konnen, ob diese Datenverarbeitungsanlage noch 
steril oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vorhandenen Zeitgeber 
T ausgeloste Test lauft nun so ab. dafl aus dem 



BNSOOCID: <EP__0304033A2_I_> 



3 EP 0 304 033 A2 4 

gespeicherten Testprogramm. d.h. mit dem im Pro- 
gramm P enthaltenen Algorithmus f* ein v/eiterer 
Programmauthentifizierungs-Code PAC' erzeugt 
wird. Sowohl dieser neu gebildete Programmau- 
thentifizierungs-Code PAC als auch der gespei- 5 
cherte Programmauthentifizierungs-Code PAC wer- 
den schlieBIich einem Komparator COMP zuge- 
fuhrt, der bei Ungleichheit der Signale ein Fehlersi- 
gnal erzeugt. 



Anspruche 

1. Verfahrsn zum Diagnostizieren einer von 
Computerviren befallenen Datenverarbeitungsanla- is 
ge mit Hilfe eines Testprogramm s ( 
gekennzeichnet durch die Verwendung eines, ei- 

nen Algorithmus f enthaltenden, virusfreien Pro- 
gramms P, aus dem zum Zeitpunkt x = to mit 
Hilfe des Algorithmus ein 20 

Programmauthentifizierungs-Code PAC = f (P) ge- 
bifdet und zusammen mit dem Programm abge- 
speichert wird und dafl dieses virusfreie Programm 
zu spateren Zeitpunkten x = tl, t2, t3... tn als 
Ko der programm in die zu untersuchende Date nver- 25 
arbeitungsanlage eingebracht und gestartet. der 
sich dabei jeweils ergebende 

Programmauthentifizierungs-Code (PAC ) mit dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) verglichen und bei Ungleichheit ein Fehlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1 . 

dadurch gekennzeichnet, da/5 der zu spateren 
Zeitpunkten gestartete Programmlauf durch einen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgelost wird. 
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© Das Verfahren ist gekennzeichnet durch die Ver- 
wendung eines, einen Algorithmus enthaltenden, vi- 
rusfreien Programms P, aus dem zum Zeitpunkt x = 
to mit Hilfe des Algorithmus ein 
Programmauthentifizierungs-Code PAC = f (P) ge- 
bildet und zusammen mit dem Programm abgespei- 
chert .wird. Zu Prufzwecken wjrd nun dieses virus- 
freie Programm zu spateren Zeitpunkten x = t1, t2, 
t3, ... tn als Koderprogramm in die zu untersuchende 
Datenverarbeitungsanlage eingebracht und gestartet, 
der sich dabei jeweils ergebende 
Programmauthentifizierungs-Code PAC' mit dem ge- 
speicherten Programmauthentifizierungs-Code PAC 
verglichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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